本人关于此次炒作卡巴的最后转帖

gwg829

PS:  文中的阿财是IT168本友会 [benyouhui.it168.com] 的BENQ区的技术顾问 技术还可以的说  我也在那混的  虽然我是ASUS的本本...
       我无意中看到这篇文章 觉得写的不错  就转过来了  希望大家看完后对此次所有和卡巴相关的炒作有个"自己的清醒的正确的认识"!~~~


下面正文:

关于最近国内炒作卡巴误杀,阿财有话说

声明：本人不使用瑞星，江民，诺顿，卡巴斯基这四个反病毒软件产品中的任意一个，所以无法求证误杀是否真实存在，仅作技术分析和中立评论。

最近国外反病毒软件误杀事件闹得沸沸扬扬，其中有货真价实的误杀引起系统崩溃，比如诺顿误杀系统文件netapi32.dll、lsasrv.dll，会直接导致系统无法启动。

但是卡巴误杀 Windows XP系统中的shdocvw.dll.doc 文件，只是导致IE浏览器无法启动，如果用户启动了活动桌面，会导致桌面空白，没有图标，在安全模式里面取消活动桌面就可以恢复。

另外瑞星卡卡和QQ的卡巴报告为系统安全威胁被大肆传播透露出来的讯息就比较隐晦了，首先我们来看看这张图片，几乎所有的论坛和网站都转载了这张图片，连水印都不带，上传的操作都免了嘿嘿，

我就不信这么多“误报”大家都是用一个版本的卡巴和QQ，大家注意一点，这个截图系统里面安装的QQ路径非常特殊，是安装在 Program Files(x86)目录下面

这意味着——这是一个64位Windows系统的截图，因为只有64位系统的Program Files目录才会带 x64/x86后缀，

大家都知道，现在使用64bit Windows系统的比例低于5%，所以普通用户根据自己真实误报的情况发帖的话，绝对不可能都是这样样的路径截图！

一个人帖一张这种图，不奇怪，一百人帖还是这一张图，非奸即盗

要是连太平洋，Pcpop，cnBeta，it168，百度贴吧，卡饭论坛，凡是有点影响力的地方，同时贴出一张一摸一样的图，而且还是很罕见的64bit系统的截图，



这个的状况不能说不奇怪了吧？所以整个事件是不是存在一个的幕后推动者呢？




瑞星又开始公告了，http://www.rising.com.cn/special/special_news070523.htm，一样的内容，
而且想办法投递到了cnbeta和太平洋，我依然认为是瑞星公司的公关稿，原因有三

第一、“易语言”事件中，当事的三方是“卡巴”“用户”“易语言”，“瑞星”是无关的第四方， 同时瑞星公司不是新闻媒体。现在这个新闻，第一次我从瑞星网站看到，第二次我从cnBeta上的瑞星公司公告里面看到，这点本身就是令人好笑的，也许瑞星公司更乐意于扮演新闻媒体或者法官的角色。

第二、还是跟我说的卡巴劫杀QQ的截图类似，我又再次在超过3个不同网站看到了同一张图片，分毫未改，只能说明存在以下可能：国内网络习惯于转载而不是思考，所以直接转过来了事，这点对于我跟人来说，只能感到一种悲哀；或者是别有用心的人，假借用户名义在暗中传播。当然我没有做任何定性的判断，只是都写出来给广大用户参考，避免一边倒的网络舆论出现而已，毕竟舆论网络是浮躁容易被煽动的，

第三、本友会综合区我一共处理掉3个帖子在5月20日重复贴出关于卡巴误杀问题，其中内容雷同，而且注册日均为当天的ID有2个，当然这是作为版主职权才能注意到的，因为出现这样的帖子我就得移动到争议区或者直接删除，从这里我比一般用户更能体会到某国内杀毒软件品牌的躁动和不安。同样的，太平洋，Pcpop，cnBeta，卡卡论坛也出现同样的类似的内容的帖子，难道就真的有那么巧合？因为从瑞星公司提供的列表来看，卡巴斯基误杀QQ不是第一次了，为什么以前都没有那么大的声浪，是用户忍无可忍还是有人推波助澜？


这张图最近出现频率也很高，图片的提供者不是当事人易语言公司，而是第四方——瑞星公司，耐人寻味啊。




PS:下文中原图不见了  无法转载

接下来，阿财做了一个测试，来看看QQ目录下面究竟有多少猫腻。

什么程度的误杀，误删，误报能够让QQ/Windows系统崩溃，蓝屏无法操作？

截图中，最底下一个窗口为QQ 2006正式版的安装目录，

第二个窗口为回收站，阿财把QQ目录下面除了QQ以外的全部可执行(.exe)文件删除，扔进了回收站里面。

最上面一个窗口，大家可以看到，QQ正常启动了，没有任何异常。开启三分钟以后提示了一下自动更新失败，进选项里面关闭自动更新就OK了

收发信息，聊天，群功能一切正常。

没有传说中山崩海啸，地震，系统崩溃

不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自匿名网友与yahootw网友):
QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
不过里面就有一些字符串,用了一个比较复杂的类来加密
看了下,把它们解密了
大家来看看是都是些什么见不得人的东西:


{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll  雅虎助手

{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll  雅虎助手

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks

//./CnsMinKP   雅虎助手

{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll  雅虎助手

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

SOFTWARE/Microsoft/Internet Explorer/Toolbar

{02496EBD-8455-48db-B3C7-5DAC97D9F5A7}  BDSrHook.dll 百度超级搜霸

//./adsrsvc  百度超级搜霸

//./BDGuard 百度超级搜霸


{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll  CNNIC中文上网

//./cdnprot  CNNIC中文上网

//./cdntran CNNIC中文上网

SOFTWARE/CNNIC/CdnClient

{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜

//./fad 划词搜索

//./anfad 划词搜索

Uindata

http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异

URLDownloadToFileA
DeleteUrlCacheEntryA
流氓专用函数

yahootw网友的报告:

今天没事用AVG Anti-Spyware 扫了下  突然惊现一个警报  ！ 一个木马  汗  多少年了 没中过木马了  (心情激动十万分~bs自己一下~~~呵呵)！

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at:    00:28:25  2006-12-15

+ Scan result:



[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).

QQPhoneHelper.dll这个东东 到底是不是毒呢？还是杀软误报？？搞不懂..呵呵 求高人指点一下！！

分析一下 ~~
安装qq2006之后，会出现如下的情况：

其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件？这个文件，在QQ退出后，也不会自动删除。
这个临时文件的名字是：~DFD.tmp (或者是随机生成~DF*.tmp)

其内容用Ultraedit查看是：
[QQHelper]
version=1.0.0.26
url=http://scdown.qq.com/download/QQPhoneHelper.dll
setupfile=QQPhoneHelper.dll

把QQPhoneHelper.dll这个文件改名或删除，在启动QQ后，这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 ！！！

而对于这个dll，会在c盘根目录创建"~DTLog.txt"文件

查看跟踪了读入读出请求
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS

用卡巴，诺顿，AVK等等也是报

所以说，君子坦荡，清者自清，奉劝国内厂商一句，不要过分依赖那么一两次可与而不可求的炒作，网络安全，技术为上。

水木

楼主真辛苦

浪滔天

其实杀毒软件都会尽量做到很严谨，如果软件中不是有一些令人值得怀疑的东西，杀毒软件是不会做出反应的。

cooller

楼主分明是在偏袒卡巴吗,倘若误杀事件发生在瑞星身上,每次上个QQ报N次,非加信任区不可.我不信你对瑞星还受得了.

再说误杀是事实,别人拿出来你怎么想是你的事,总不致于别人把我产品当病毒杀了.而且连个表态都没有,我还忍着吧.

其次站在更高层面上讲,这时候我们是不是有必要支持一下子国产的软件呢,不管是瑞星还是QQ或是金山


称得上君子的人不是实力特强的人,而是面对错误勇于承认的人.

[ 本帖最后由 cooller 于 2007-5-26 17:42 编辑 ]

gwg829

LS根本没理解这篇文章的意思

试问一句　你用的是64位的系统么?  你的朋友里面有用64位的么?   仅此而已

cooller

把这贴发出来不是传播恶劣影响是什么.

自己不也觉得写得不错吗.你的意见与他不同吗?

[ 本帖最后由 cooller 于 2007-5-26 18:01 编辑 ]

tonghulu

长见识

gwg829

请问什么叫"传播恶劣影响"?

难道指出问题或疑问就叫"传播恶劣影响"?

我就是认可他的观点那又怎么的?难道上面所说有作假?

cooller

有意扁低国产软件谓之"传播恶劣影响"

你肯定他的观点我没有意见........

只是看不过去发个贴子罢了.

xffsfy

虽然额喜欢卡巴，但仍然认为应该出来向用户道歉一下比较好，但仅此而已，别妄想跟瑞*道歉。
但凡这些和系统设置有关的软件多多少少都有些反常的运作方法，误报也是自然~~~况且还把这些东西炒来炒去更不道德。
最反感拿“民族软件”来掩护的，难道因为“民族”就可以放任自流？因为“民族”就可以忍受到处撒野？打压瑞*不是为了打倒他，而是为了让他学习到身为一家大公司想要迈向国际市场所必须具备的素质！软件公司不是靠“营销部”和“公关部”发展的